Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ssdeep
Search
miyamoto
May 24, 2017
Technology
0
1.3k
ssdeep
about ssdeep fuzzyhash
miyamoto
May 24, 2017
Tweet
Share
Other Decks in Technology
See All in Technology
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
190
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
290
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
1
250
生成AIの変革の時代に、直近1年で直面した課題とその解決策
ktc_wada
0
310
データベース02: データベースの概念
trycycle
0
160
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
370
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
530
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
230
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
web-application-security
matsuihidetoshi
0
170
Featured
See All Featured
Testing 201, or: Great Expectations
jmmastey
28
6.4k
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
Side Projects
sachag
451
41k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
A Philosophy of Restraint
colly
197
16k
What the flash - Photography Introduction
edds
64
11k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Designing with Data
zakiwarfel
96
4.8k
Building a Scalable Design System with Sketch
lauravandoore
456
32k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k
Transcript
ファジーハッシュについて 宮本
ファジーハッシュ:類似マルウェアへ対応するために 従来のハッシュの問題点: 4バイトだけ異なる2つのマルウェア検体。ハッシュを計算すると全く違う値。 4バイトをランダムに書き換えて新しいマルウェアを大量に作成する場合、 作成可能なハッシュの異なるマルウェアの数は、2564=約43億通り。 →ハッシュ値を使ったレピュテーションで対応するのは困難→ファジーハッシュ 2
VirusTotalでもファジーハッシュ ファイルの類似を調べる ssdeep:ファジーハッシュ →ファイルの全体的な類似 authentihash,imphash →実行ファイルの部分一致 ssdeep 3
ssdeep値のフォーマット 「:」が区切り目 「:」が区切り目 3×2nで表すブロックサイズ 64未満分割チェックサム連結値 32未満分割チェックサム連結 値 イメージ 図 ファイルを分割し、各分割ブロックごとに1文字のチェックサムを出して連結する
ファイルが類似していると、結果も類似するという特徴 ファイル チェックサム 連結値 4
使用例 4つのマルウェア検体(イメージ) ほぼ共通だけど、最後の0.3%だけランダム文字列な4検体 5
VirusTotalで「追加情報」を確認してみると ファイル1 ファイル2 ファイル3 ファイル4 6
ssdeepだけ拡大 ファイル1のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFp: V8p57YZ8jUMlrb3e807QPxjy1 ファイル2のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFR: V8p57YZ8jUMlrb3e807QPxjyF ファイル3のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFH: V8p57YZ8jUMlrb3e807QPxjyr
ファイル4のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFN: V8p57YZ8jUMlrb3e807QPxjyB 「1ブロック違うだけで他は共通の類似ファイル:98%一致」という比較結果 赤字は異なる部分 7
8 機械学習を利用したマルウェア検知 実行前にファイルを静的解析し、機械学習で構築した既知のマルウェア 情報データベースと比較し、類似している物を検知しブロックする ファイルから抽出する情報: • ファイルタイプ、証明書、アイコン、画面リソース、テキスト • パッカー、コンパイラ、コンパイル時間、エントリーポイント •
インポートハッシュ(関数呼出しの一致) • ファジーハッシュ(ファイル類似性) Suspicious Origin Packed or Encrypted Suspicious URL New Application Suspicious Email Low Age Certificate Document Type Low Prevalence High # of Rapid Changes Suspicious Email Link クラウドに集めた マルウェアの情報と 類似しているか比較